Parola One-time (în engleză o parolă de timp, OTP.) - este o parolă. valabil numai pentru o sesiune de autentificare. Efectul parolei o singură dată, de asemenea, poate fi limitată la o anumită perioadă de timp.
O singură dată parola avantaj față de static este faptul că parola nu poate fi reutilizat. Astfel, un atacator interceptarea de date de autentificare este de succes, sesiunea nu poate utiliza parola de copiat pentru a avea acces la sistemul de informații protejate. Folosirea parolelor unice de la sine nu protejează împotriva atacurilor bazate pe intervenția activă a canalului de comunicare utilizat pentru autentificare (de exemplu, de tip „om în„atacuri de mijloc).
Omul nu este capabil să-și amintească parolele o singură dată. Prin urmare, tehnologii suplimentare pentru funcționarea corectă a acestora.
Metode de creare și distribuire OTP
Crearea de algoritmi OTP folosesc de obicei numere aleatoare. Acest lucru este necesar, deoarece altfel ar fi ușor de prezis următoarele parole pe baza cunoștințelor anterioare. Algoritmi specific OTP variază foarte mult în detaliu. Diferite abordări pentru crearea de parole unice sunt enumerate mai jos.
- Folosind algoritmi matematici pentru a crea o parolă nouă bazată pe anterioară (parole face de fapt, lanțul, și ar trebui să fie utilizate într-o anumită ordine).
- Pe baza de sincronizare de temporizare între server și client, oferind parola (valabil pentru o perioadă scurtă de timp)
- Folosind un algoritm matematic, în cazul în care o nouă parolă în baza cererii (de exemplu, un număr aleatoriu selectat de server sau a mesajului de intrare) și / sau contra.
algoritmi matematici
O abordare, dezvoltat de Leslie Lamport. Acesta utilizează o funcție de one-way (l f numesc). sistem o singură dată parola pornește de la un e sămânță. apoi generează parole
cât de multe ori este necesar. Dacă vă căutați pentru o serie nesfârșită de parole, noi semințe pot fi selectate după epuizarea unei serii de s. Fiecare parolă este distribuit în ordine inversă, începând cu f (f (f ... (e)) ...), care se încheie cu f (s).
În cazul în care un atacator reușește să obțină o parolă o singură dată, ea poate fi accesată numai pentru o perioadă de timp sau o singură conexiune, dar devine inutil atunci când această perioadă este de peste. Pentru a obține parola următoare într-un șir de cele anterioare, trebuie să găsim o modalitate de a calcula functia inversa f -1. Deoarece f a fost ales ca o singură parte, apoi face imposibilă. Dacă f - funcție hash criptografice. care este utilizat în mod obișnuit, în măsura în care știm, va fi sarcina computațional imposibilă.
sincronizat timp
parole unice sincronizate de timp sunt de obicei asociate cu jeton hardware fizic (de exemplu, fiecare utilizator este emis un simbol personal, care generează o parolă o singură dată). jeton în interiorul construit ceasuri precise, care sunt sincronizate cu ceasul de pe server. Aceste sisteme OTP timp este o parte importanta a algoritmului, a crea o parolă, deoarece generarea unei parole noi bazate pe ora actuală, mai degrabă decât parola anterioară sau o cheie secretă.
Recent, a devenit posibil de a încorpora componente electronice asociate cu permanente Token-ore, cum ar fi de la ActivIdentity, InCard, RSA. SafeNet. Vasco, VeriSign și Protectimus, în factorul de formă al unui card de credit. Cu toate acestea, deoarece grosimea cardului (de la 0,79 mm la 0,84 mm) nu permite utilizarea elementelor tradiționale ale bateriilor, este necesar să se utilizeze baterii speciale, pe bază de polimeri, a căror durată de viață este mult mai mult decât o construcție convențională mini-baterii. În plus, acesta trebuie utilizat cu semiconductori extreme, consum redus de energie pentru economia de energie în timpul de așteptare și / sau utilizarea produsului. În producția de dispozitive subțiri OTP lider două companii: identità si NagraID.
Folosind solicitarea parolei o singură dată cere utilizatorului să furnizeze timp sincronizate pentru solicitările care au fost autentificate. Acest lucru se poate face prin introducerea unei valori în sine semn. Pentru a evita dublurile, includ de obicei un contor suplimentar, așa că, dacă se întâmplă să primiți două interogări identice, aceasta va duce totuși la apariția unor diferite parole unice. Cu toate acestea, calculele nu includ de obicei parola anterioară de timp, deoarece aceasta va duce la probleme de sincronizare. EMV începe să utilizeze astfel de sisteme (de ex. N. «Chip Authentication Programul») pentru cardurile de credit din Europa.
Parola One-time prin SMS
În același timp, parole unice prin SMS pot fi mai puțin sigure, ca operatorii de telefonie mobilă devin parte din lanțul de încredere. În cazul în care se permite funcția de roaming, trebuie să ai încredere mai mult de un operator de telefonie mobilă (în unele cazuri, toate organizațiile care au acces la sistemul de semnalizare SS7).
Pentru sistemele care se bazează pe semnale electronice, nu sunt sincronizate la momentul sistemului, ar trebui să rezolve problema atunci când serverul și Maidanezul jeton de sincronizare. Acest lucru conduce la costuri suplimentare de dezvoltare. Pe de altă parte, acestea vă permit să evite costul ceasului în semnale electronice (și valorile lor de corecție, luând în considerare derivei temporală).
Cu toate parolele unice sunt mai sigure decât parolele convenționale, utilizarea sistemelor OTP sunt încă vulnerabile la un „om în mijloc“ atacuri. Prin urmare, parole de o singură dată, nu ar trebui să fie trimisă unei terțe părți. Fie că o singură dată parola este sincronizat, practic nu afectează gradul de vulnerabilitate. Pe baza cererii de parole unice sunt vulnerabile, de asemenea, cu toate că un atac de succes necesită atacator un pic mai mult de acțiune decât pentru alte tipuri de OTP.
set patentată de tehnologie OTP. Acest lucru face ca standardizarea în acest domeniu și mai dificilă, deoarece fiecare companie încearcă să împingă propria tehnologie. Cu toate acestea, există standarde, de exemplu, RFC 1760 (S / Key) RFC 2289 (OTP), RFC 4226 (HOTP) și RFC 6238 (TOTP).
OTP în cadrul bancar
În unele țări, parole unice utilizate pentru băncile de utilizare la distanță. În unele dintre aceste sisteme, banca trimite utilizatorul la o listă numerotată de parole unice, imprimate pe hârtie. Pentru fiecare tranzacție utilizatorul la distanță trebuie să introduceți parola corespunzătoare o singură dată din această listă. În Germania, aceste parole sunt numite de obicei TAN-cod (de la «tranzacție numere de autentificare»). Unele bănci trimite cafenie coduri pentru utilizator prin SMS, iar în acest caz, ele sunt numite mTAN-coduri (de la «bronzeaza mobile»).
Cel mai adesea, parole unice sunt simbolul de autentificare cu doi factori. Unele SSO [5] sisteme utilizează parole unice. Tehnologia OTP este, de asemenea, utilizat în token-ul de securitate.